Kalifornijas privātuma sistēmas izpratne

Kalifornija ir līdere patērētāju privātuma regulējumā ASV, un tās likumi ietekmē vietnes visā pasaulē. Kalifornijas Patērētāju privātuma likums (California Consumer Privacy Act, CCPA), ko būtiski groza Kalifornijas Privātuma tiesību akts (California Privacy Rights Act, CPRA), kas stājās spēkā 2023. gada janvārī, nosaka pienākumus jebkuram uzņēmumam, kas vāc personas datus par Kalifornijas iedzīvotājiem — neatkarīgi no tā, kur šis uzņēmums fiziski atrodas.

Vietņu īpašniekiem praktiskās sekas galvenokārt attiecas uz sīkdatnēm, izsekošanas tehnoloģijām un to, kā lietotāju dati tiek kopīgoti ar trešajām pusēm. Lai gan Kalifornijas modelis būtiski atšķiras no Eiropas GDPR, tas joprojām prasa rūpīgu uzmanību piekrišanas mehānismiem un lietotāju tiesībām.

CCPA/CPRA: uz ko tas attiecas?

Likums attiecas uz peļņas gūšanas nolūkā dibinātiem uzņēmumiem, kas atbilst jebkuram vienam no šiem kritērijiem:

• Gada bruto ieņēmumi pārsniedz 25 miljonus ASV dolāru.
• Katru gadu pērk, pārdod vai koplieto 100 000 vai vairāk Kalifornijas iedzīvotāju, mājsaimniecību vai ierīču personas datus.
• 50 procentus vai vairāk no gada ieņēmumiem gūst no Kalifornijas iedzīvotāju personas datu pārdošanas vai koplietošanas.

Otrais kritērijs ir īpaši svarīgs vietnēm ar reklāmām. Ja jūsu vietne izmanto trešo pušu sīkdatnes mērķētai reklāmai un saņem ievērojamu apjomu trafika no Kalifornijas, jūs, iespējams, apstrādājat daudz vairāk nekā 100 000 Kalifornijas lietotāju datus gadā tikai ar šo sīkdatņu palīdzību.

Atteikšanās vs piekrišana: būtiskākā atšķirība no GDPR

Šī ir kritiski svarīga atšķirība, ko vietņu operatoriem ir jāizprot. Saskaņā ar GDPR noklusējums ir piekrišana (opt-in): jūs nedrīkstat iestatīt neobligātās sīkdatnes, kamēr lietotājs nav aktīvi devis piekrišanu. Saskaņā ar CCPA/CPRA noklusējums ir atteikšanās (opt-out): jūs drīkstat apstrādāt personas datus (tostarp ar sīkdatņu palīdzību), līdz lietotājs jums paziņo, ka jāpārtrauc.

Tas nozīmē, ka piekrišanas pieredze Kalifornijas apmeklētājiem būtiski atšķiras:

• GDPR pieeja: Bloķēt visas neobligātās sīkdatnes. Parādīt baneri. Gaidīt skaidru piekrišanu. Tikai pēc tam iestatīt sīkdatnes.
• CCPA/CPRA pieeja: Sīkdatnes drīkst iestatīt pēc noklusējuma. Nodrošināt skaidru un labi pamanāmu saiti "Do Not Sell or Share My Personal Information". Kad lietotājs izmanto šīs tiesības, pārtraukt viņa datu kopīgošanu ar trešajām pusēm.

Tomēr pastāv svarīgi izņēmumi. Attiecībā uz nepilngadīgajiem, kas jaunāki par 16 gadiem, CCPA/CPRA pāriet uz piekrišanas (opt-in) modeli — jums ir jāsaņem skaidra piekrišana, pirms pārdodat vai kopīgojat viņu personas datus. Attiecībā uz bērniem, kas jaunāki par 13 gadiem, šādu piekrišanu jāsniedz vecākam vai aizbildnim.

Prasība "Do Not Sell or Share"

CPRA paplašināja sākotnējās CCPA tiesības "Do Not Sell" (nepārdot) un iekļāva arī "sharing" (kopīgošanu) — kas īpaši attiecas uz datu apmaiņu, kas notiek, izmantojot trešo pušu reklāmas sīkdatnes. Kad lietotājs apmeklē jūsu vietni un jūsu sīkdatnes nosūta viņa pārlūkošanas datus reklāmas tīkliem, tas saskaņā ar CPRA ir uzskatāms par kopīgošanu, pat ja naudas darījums tieši nenotiek.

Jūsu pienākumi ietver:

• Skaidru saiti ar nosaukumu "Do Not Sell or Share My Personal Information" jūsu sākumlapā un privātuma politikā.
• Mehānismu, kas ļauj lietotājiem viegli izmantot šīs tiesības, neprasot izveidot kontu.
• Pieprasījuma izpildi 15 darba dienu laikā.
• Nediskriminēt lietotājus, kuri izmanto šīs tiesības (piemēram, nepasliktinot viņu pieredzi).

Global Privacy Control (GPC)

Global Privacy Control ir pārlūka līmeņa signāls, ko lietotāji var aktivizēt, lai automātiski paziņotu savu atteikšanās izvēli katrai apmeklētajai vietnei. Tādi populāri pārlūki kā Firefox un Brave atbalsta GPC dabiski, un pārlūka paplašinājumi nodrošina atbalstu Chrome un citiem pārlūkiem.

Saskaņā ar CPRA noteikumiem uzņēmumiem ir jāievēro GPC signāli kā derīgs atteikšanās pieprasījums. Tam ir būtiskas praktiskas sekas:

• Jūsu vietnei jāspēj noteikt HTTP galveni Sec-GPC: 1 vai JavaScript īpašību navigator.globalPrivacyControl.
• Kad tā tiek konstatēta, jums tā jāuztver kā līdzvērtīga lietotāja klikšķim uz "Do Not Sell or Share".
• Trešo pušu sīkdatnes, ko izmanto reklāmai, šiem lietotājiem ir jāpārtrauc iestatīt.

GPC izmantošana pakāpeniski pieaug. Tiek lēsts, ka 5–10 procenti tīmekļa trafika jau satur GPC signālu, un šis procents ir augstāks privātumu apzinīgu lietotāju vidū Kalifornijā.

Kad jums patiešām ir vajadzīgs sīkdatņu baneris Kalifornijai?

Šeit daudzi uzņēmumi apjūk. Strikti raugoties, CCPA/CPRA nepieprasa Eiropas tipa sīkdatņu piekrišanas baneri, jo tiek izmantots atteikšanās modelis. Tomēr jums ir nepieciešams:

• Viegli pieejama saite "Do Not Sell or Share".
• Mehānisms, kas ļauj pārtraukt trešo pušu datu kopīgošanu, kad lietotājs atsakās vai nosūta GPC signālu.
• Privātuma politika, kurā atklātas savāktās personas datu kategorijas, to izmantošanas nolūki un trešās puses, ar kurām dati tiek kopīgoti.
• Vietnēm, kas apkalpo arī Eiropas apmeklētājus, GDPR prasībām atbilstošs piekrišanas baneris, kas var līdzāspastēt ar CCPA atteikšanās mehānismu.

Praksē lielākā daļa vietņu, kas apkalpo gan Eiropas, gan Kalifornijas auditoriju, ievieš vienotu piekrišanas saskarni, kas pielāgo savu darbību atkarībā no apmeklētāja atrašanās vietas. Tas ļauj izvairīties no divu pilnīgi atsevišķu piekrišanas sistēmu uzturēšanas.

Praktiski ieviešanas apsvērumi

CCPA/CPRA atbilstības nodrošināšana līdztekus GDPR atbilstībai rada divu režīmu izaicinājumu. Jūsu piekrišanas pārvaldības platformai ir jāspēj:

1. Precīzi noteikt apmeklētāja atrašanās vietu, izmantojot IP ģeolokāciju.
2. Piemērot pareizo tiesisko regulējumu — piekrišanas (opt-in) modeli EEE/Apvienotās Karalistes apmeklētājiem, atteikšanās (opt-out) modeli Kalifornijas apmeklētājiem un, iespējams, bez īpašām prasībām citu reģionu apmeklētājiem.
3. Pārvaldīt saiti "Do Not Sell or Share" Kalifornijas apmeklētājiem, iekļaujot to banerī vai kā atsevišķu lapas elementu.
4. Noteikt un ievērot GPC signālus pirms tiek iestatītas jebkādas trešo pušu sīkdatnes.
5. Atbilstoši kontrolēt sīkdatņu darbību — bloķēt trešo pušu reklāmas sīkdatnes lietotājiem, kuri ir atteikušies, vienlaikus ļaujot turpināt pirmās puses analītiku.

Tehniskajai ieviešanai ir jāņem vērā arī atšķirība starp pirmās puses analītikas sīkdatnēm (parasti pieļaujamas saskaņā ar CCPA/CPRA kā biznesa nolūks) un trešo pušu reklāmas sīkdatnēm (kas ir uzskatāmas par kopīgošanu un uz kurām attiecas atteikšanās tiesības).

FlexyConsent ģeomērķēšana Kalifornijas apmeklētājiem

FlexyConsent risina divu režīmu izaicinājumu, izmantojot automātisku ģeomērķēšanu. Kad jūsu vietni apmeklē lietotājs no Kalifornijas, FlexyConsent pielāgo savu darbību CCPA/CPRA prasībām:

• Atteikšanās režīma aktivizēšana: Tā vietā, lai sākotnēji bloķētu visas sīkdatnes, FlexyConsent skaidri un redzami parāda nepieciešamo opciju "Do Not Sell or Share My Personal Information".
• GPC signāla noteikšana: FlexyConsent automātiski pārbauda Global Privacy Control signālu un, ja tas ir klātesošs, pārtrauc trešo pušu datu kopīgošanu, neprasot nekādu papildu lietotāja darbību.
• Kategoriju līmeņa bloķēšana: Kad Kalifornijas lietotājs atsakās, FlexyConsent selektīvi bloķē reklāmas un starpvietņu izsekošanas sīkdatnes, vienlaikus saglabājot pirmās puses analītikas funkcionalitāti, kas ietilpst biznesa nolūka izņēmumā.
• Nepārtraukta līdzāspastāvēšana ar GDPR: Viena un tā pati FlexyConsent instalācija apkalpo abus regulējumus. Eiropas apmeklētāji redz GDPR prasībām atbilstošu piekrišanas (opt-in) baneri ar detalizētu kategoriju pārvaldību. Kalifornijas apmeklētāji redz atbilstošu atteikšanās mehānismu. Apmeklētāji no neregulētiem reģioniem saņem minimālu paziņojumu vai vispār neredz baneri, atkarībā no jūsu konfigurācijas.

Kā Google-certified CMP, kas atbalsta IAB TCF 2.3 un Consent Mode V2, FlexyConsent nodrošina, ka piekrišanas signāli tiek pareizi nodoti Google pakalpojumiem neatkarīgi no tā, kurš tiesiskais regulējums tiek piemērots. Tas nozīmē, ka jūsu Google Analytics un Google Ads konfigurācijas korekti darbojas gan Eiropas lietotājiem, kuri ir devuši piekrišanu, gan Kalifornijas lietotājiem, kuri nav atteikušies.

Galvenā atziņa: Kalifornijas atteikšanās modelis var šķist mazāk ierobežojošs nekā GDPR piekrišanas pieeja, taču praktiskās prasības — īpaši attiecībā uz GPC signāliem un plašo jēdziena "sharing" (kopīgošana) definīciju — nozīmē, ka lielākajai daļai ar reklāmām finansētu vietņu ir nepieciešams sarežģīts piekrišanas pārvaldības risinājums. Ģeomērķētas piekrišanas ieviešana, kas pielāgojas abiem regulējumiem, ir daudz uzticamāka nekā mēģinājums piemērot vienotu pieeju visā pasaulē.